Az OpenSSL nagy hibája az Internet nagy részét veszélyezteti

Hirdetés

Ha Ön azon emberek közé tartozik, akik mindig is azt hitték, hogy a nyílt forráskódú kriptográfia a legbiztonságosabb módszer az online kommunikációra, akkor egy kicsit meglepődik.

Ezen a héten Neel Mehta, a Google biztonsági csapatának tagja, a következő címen tájékoztatta a fejlesztőcsoportot: OpenSSL hogy az OpenSSL „szívverés” funkciójával kihasználható egy lehetőség. A Google azt a hibát fedezte fel, amikor a Codenomicon biztonsági céggel működött együtt, hogy megpróbálja feltörni a saját szervereit. A Google értesítését követően április 7-én az OpenSSL csapata kiadta sajátját Biztonsági tanácsadás a vészhelyzet javításával együtt.

A hiba már megkapta a „Heartbleed” becenevet. biztonsági elemzők által Bruce Schneier biztonsági szakértő a jelszavakról, az adatvédelemről és a bizalomrólTudjon meg többet a biztonságról és a magánéletről Bruce Schneier biztonsági szakértővel folytatott interjúnkban. Olvass tovább , mert az OpenSSL „szívverés” funkcióját használja az OpenSSL-t futtató rendszer becsapására olyan érzékeny információk felfedésére, amelyek a rendszermemóriában tárolhatók. Noha a memóriában tárolt információk nagy része nem biztos, hogy nagy jelentőséggel bír a hackerek számára, a gyöngyszem azokat a kulcsokat fogja elfogni, amelyeket a rendszer használ

titkosított kommunikáció 5 módszer a fájlok biztonságos titkosításához a felhőbenLehet, hogy fájljait titkosították átvitelkor és a felhő-szolgáltató kiszolgálóin, de a felhőalapú tárolótársaság dekódolhatja azokat - és bárki, aki hozzáfér a fiókjához, megtekintheti a fájlokat. Ügyfél oldal... Olvass tovább .

A kulcsok beszerzése után a hackerek dekódolhatják a kommunikációt, és érzékeny információkat gyűjthetnek, például jelszavakat, hitelkártya-számokat és így tovább. Az érzékeny kulcsok beszerzésének egyetlen feltétele az, hogy a titkosított adatokat a kiszolgálótól elég hosszú ideig felhasználják a kulcsok rögzítéséhez. A támadás nem észlelhető és nyomon követhetetlen.

Az OpenSSL Heartbeat Bug

Ennek a biztonsági hibának a következményei hatalmasak. Az OpenSSL-t először 2011 decemberében hozták létre, és gyorsan kriptográfiai könyvtárgá vált cégek és szervezetek által az interneten keresztül, hogy titkosítsák az érzékeny információkat és kommunikációt. Ez az az Apache webszerver által használt titkosítás, amelyre az összes internetes weboldal közel fele épül.

Az OpenSSL csapata szerint a biztonsági lyuk szoftverhiba okozta.

„A TLS pulzusszám-kiterjesztés kezelésének hiányzó ellenőrzése felhasználható akár 64k memória feltárására a csatlakoztatott kliens vagy szerver számára. Csak az OpenSSL 1.0.1 és 1.0.2-béta verzióit érinti, beleértve az 1.0.1f és 1.0.2-beta1 verziókat. ”

Anélkül, hogy nyomot hagyna a szervernaplókban, a hackerek kihasználhatják ezt a gyengeséget, hogy titkosított adatokat szerezzenek a az Internet legérzékenyebb kiszolgálói, mint például a banki webszerverek, hitelkártya-társaságok szerverei, számlák fizetését szolgáló webhelyek és több.

A titkos kulcsok megszerzésének valószínűsége azonban továbbra is kérdéses, mivel Adam Langley, a Google biztonsági szakértője a Twitter-patakján hogy a saját tesztelése nem hozott olyan érzékeny információt, mint a titkos titkosítási kulcsok.

Biztonsági tanácsadójaként április 7-én az OpenSSL csapata azonnali frissítést és alternatív javítást ajánlott azoknak a kiszolgáló-rendszergazdáknak, akik nem tudnak frissíteni.

„Az érintett felhasználóknak frissíteniük kell az OpenSSL 1.0.1g verziójára. Azok a felhasználók, akik nem tudnak azonnal frissíteni, alternatívaként újrafordíthatják az OpenSSL-t a -DOPENSSL_NO_HEARTBEATS használatával. Az 1.0.2-et az 1.0.2-beta2-ben rögzítik. ”

Az OpenSSL elterjedése miatt az interneten az elmúlt két évben a közelgő támadásokhoz vezető Google bejelentés valószínűsége meglehetősen magas. E támadások hatását azonban enyhítheti az a tény, hogy minél több szerver adminisztrátor és biztonsági menedzser frissíti vállalati rendszerét az OpenSSL 1.0.1g verzióra a lehető leghamarabb.

Forrás: OpenSSL